학습 경로 7 - 랩 1 - 연습 11 - Microsoft Sentinel에서 리포지토리 사용
랩 시나리오
당신은 Microsoft Sentinel을 구현한 회사에서 근무하는 보안 운영 분석가입니다. 예약됨 및 Microsoft 보안 분석 규칙을 이미 만들었습니다. Azure DevOps 리포지토리에서 분석 규칙을 중앙 집중화해야 합니다. 그런 다음 Sentinel을 Azure DevOps 리포지토리에 연결하고 콘텐츠를 가져옵니다.
참고: 대화형 랩 시뮬레이션 을 사용하여 이 랩을 원하는 속도로 클릭할 수 있습니다. 대화형 시뮬레이션과 호스트된 랩 간에 약간의 차이가 있을 수 있지만 보여주는 핵심 개념과 아이디어는 동일합니다.
작업 1: 분석 규칙을 만들고 내보내기
이 작업에서는 Microsoft Sentinel에서 엔터티 동작 분석을 사용하도록 설정합니다.
-
WIN1 가상 머신에 Admin으로 로그인합니다. 암호로는 Pa55w.rd를 사용하여 로그인합니다.
-
랩 호스팅 공급자가 제공한 테넌트 전자 메일 계정을 복사하여 로그인 대화 상자에 붙여넣은 후 다음을 선택합니다.
-
랩 호스팅 공급자가 제공한 테넌트 암호를 복사하여 암호 입력 대화 상자에 붙여넣은 후 로그인을 선택합니다.
-
Azure Portal의 검색 창에 Sentinel을 입력하고 Microsoft Sentinel을 선택합니다.
-
Microsoft Sentinel 작업 영역을 선택합니다.
-
왼쪽 블레이드의 구성 영역에서 분석을 선택합니다.
-
이전에 만든 Startup RegKey 규칙을 선택합니다.
-
도구 모음에서 내보내기를 선택합니다. 힌트: 이를 보려면 줄임표 아이콘 (…) 을 선택해야 할 수도 있습니다.
-
규칙은 Azure_Sentinel_analytic_rule.json이라는 텍스트 파일로 내보내집니다.
-
다운로드한 파일 이름 아래에서 파일 열기를 선택한 다음 더 많은 앱을 선택합니다.
-
메모장을 선택한 다음 확인을 선택합니다.
-
Azure Resource Manager 템플릿을 검토하고 완료되면 닫습니다.
작업 2: Azure DevOps 환경 만들기
이 작업에서는 Azure DevOps 리포지토리를 만듭니다.
-
브라우저에서 다른 탭을 열고 https://aexprodcus1.vsaex.visualstudio.com/me?mkt=en-US로 이동합니다.
-
On the 몇 가지 추가 정보를 입력해 주세요 페이지에서 계속을 선택합니다.
-
Azure DevOps 시작 페이지에서 새 조직 만들기를 선택하고 계속을 선택합니다.
-
거의 완료… 페이지에서 나중에 사용하지 않으려는 DevOps 조직의 이름(예: 테넌트 접두사)을 입력합니다.** 힌트: 랩의 리소스 탭(WWLx…)에서 찾을 수 있습니다.
-
표시되는 문자를 입력한 다음 계속합니다.**
-
시작할 프로젝트 만들기 페이지에서 내 Sentinel 콘텐츠를 입력한 다음, 프로젝트 만들기를 선택합니다.**
-
왼쪽 창에서 리포지토리로 이동합니다.
-
README 또는 gitignore를 사용하여 기본 분기 초기화 영역의 페이지 아래쪽에서 초기화를 선택합니다.**
-
페이지에 리포지토리에 대한 파일이 표시됩니다. 유일한 파일은 README.me입니다.
-
파일(페이지 오른쪽) 블레이드의 도구 모음에는 빌드 설정, 복제 등의 옵션이 포함됩니다. 더 많은 옵션을 보려면 콜론 아이콘 (:) 을 선택합니다.
-
파일 업로드를 선택합니다.
-
찾아보기를 선택하고 다운로드 디렉터리에서 Azure_Sentinel_analytic_rule.json 파일을 선택합니다.**
-
커밋을 선택합니다.
-
페이지의 왼쪽 위 모서리에서 Azure DevOps를 선택합니다. 조직 및 프로젝트가 표시됩니다.
-
페이지 왼쪽 아래에서 조직 설정을 선택합니다.
-
왼쪽 블레이드의 보안 영역에서 정책을 선택합니다.
-
애플리케이션 연결 정책 영역에서 켜기 OAuth를 통한 타사 애플리케이션 액세스를 전환합니다.
작업 3: Azure DevOps에 Sentinel을 연결합니다.
-
브라우저에서 Azure Portal/Microsoft Sentinel 탭을 선택합니다.
-
Microsoft Sentinel의 콘텐츠 관리 섹션에서 리포지토리(미리 보기) 를 선택합니다.**
-
도구 모음에서 + 새로 추가 단추를 선택합니다.
-
이름에 My Content를 입력합니다.
-
소스 제어의 경우 Azure DevOps를 선택합니다.
-
권한 부여를 선택합니다. 권한 요청을 아래로 스크롤한 다음, 수락을 선택합니다.
-
이전에 만든 조직(예: WWLx…)을 선택합니다.
-
이전에 만든 프로젝트인 내 Sentinel 콘텐츠를 선택합니다.**
-
이전에 만든 리포지토리인 내 Sentinel 콘텐츠를 선택합니다.** 힌트: 리포지토리를 보려면 드롭다운 내에서 아래로 스크롤해야 할 수 있습니다.
-
분기 기본을 선택합니다. 힌트: 분기를 보려면 드롭다운 내에서 아래로 스크롤해야 할 수 있습니다.
-
모든 콘텐츠 형식을 선택합니다.
-
다음으로 만들기를 선택합니다.
-
필요한 경우 Microsoft Sentinel 작업 영역으로 돌아가기
-
리포지토리(미리 보기) 페이지로 이동하여 새로 고침을 선택합니다.** 마지막 배포 상태가 실패한 상태가 될 때까지 기다립니다.**
참고: 실패한 상태는 호스트된 랩 환경의 제한으로 인해 발생합니다.** 일반적으로 성공이 표시됩니다.** 그런 다음 Azure DevOps에서 가져온 규칙을 분석에서 확인할 수 있습니다.**